Энциклопедия компьютерных вирусов
Из VxD-драйвера в документы Word
При заражении VxD-файлов вирус записывает в них очень небольшую часть своего кода - около 100 байт и полное имя PE-дроппера. Когда эта процедура получает управление, она выделяет необходимый блок памяти, по имени PE-дроппера открывает его файл, считывает полностью код вируса и передает ему управление. Вирус затем перехватывает IFS API (команды обращения к файлам) и остается в системе как VxD-драйвер.
Вирусный обработчик IFS API перехватывает несколько функций: открытие, закрытие и поиск файлов, чтение и установку их атрибутов. При открытии .DOC-файлов вирус запоминает их имена и заражает файлы при их закрытии. При этом вирус не поражает файлы на локальных дисках, а только на сетевых дисках и дискетах.
При заражении документов вирус разбирает их внутренний формат, создает макросы и записывает в них свой макро-код. Вирус также содержит в себе код вируса «Word.CAP» и при заражении документов также записывает его в .DOC-файлы (зачем — непонятно).
В зависимости от системной даты вирус портит .WAD-файлы при их открытии.
Перехват функции взятия/установки атрибутов файла используется вирусом для детектирования своей копии в памяти компьютера. При этом вирус в качестве опознавательного вызова использует чтение атрибутов файла FUCK.YOU (такой файл при этом может и не присутствовать на диске).
Перехват функции поиска файлов используется вирусом для своих стелс-процедур: вирус «не показывает» свой PE-дроппер и «уменьшает» длины зараженных .DOC-файлов.
